3月4日,中央政治局常委會提出加快新型基礎設施建設進度。相比於傳統基建,新基建更強調5G、物聯網、人工智能、工業互聯網等信息化技術,而這些都是面向未來的硬核科技。其中,5G作為未來萬物互聯的關鍵基礎設施更是被多次提及。
與此同時,全國各地5G基站建設如火如荼,數據顯示,截至2月底,全國建設開通5G基站16.4萬個,預計2020年底全國5G基站數將超過60萬個。
然而,隨著5G商用進度的不斷加快,網絡安全隱患也隨之而來。3月24日,工業和信息化部發布的《關於推動5G加快發展的通知》提出,要全力推進5G網絡建設、應用推廣、技術發展和安全保障,充分發揮5G新型基礎設施的規模效應和帶動作用,支撐經濟高質量發展。在著力構建5G安全保障體系方面,《通知》要求加強5G網絡基礎設施安全保障、強化5G網絡數據安全保護、培育5G網絡安全產業生態。
近日,比特網邀請到來自新思科技的三位嘉賓:新思科技軟件質量與安全部門高級安全架構師楊國樑、新思科技高級安全策略師Jonathan Knudsen 、新思科技高級解決方案架構師Dennis Kengo Oka,就新基建所帶來的機會和挑戰、5G網絡安全風險與應對策略、5G時代的物聯網安全,以及新思科技在自動駕駛等領域的發展戰略展開了探討。
“新基建”成為了當前最為火爆的新詞彙,幾乎所有的企業都將目光聚焦在“新基建”上面。
當問到新思科技是如何看待新基建所帶來的機會和挑戰時,新思科技軟件質量與安全部門高級安全架構師楊國樑回答道,“5G基站是5G網絡的核心設備,加快5G新型基礎設施建設已經成為中國2020年的“關鍵詞”之一,整個產業鏈有望迎來巨大的機遇。除了進一步加大建設力度,工信部也特別強調了5G網絡建設的安全保障。5G安全需要考慮多個層面,包括由終端和網絡組成的5G網絡本身通信安全,以及5G網絡承載的上層應用安全。在設計之初,就應該充分考慮網絡的可靠性和安全性,安全架構才能日臻完善。”
新思科技軟件質量與安全部門高級安全架構師楊國樑
2020年不僅是新基建元年,同時也是5G網絡建設的關鍵之年。面對與日增長的5G應用場景,越來越多的人開始關注5G時代下的網絡安全問題。
“5G的關鍵詞是‘更’,更快的速度、更大的容量、更多的設備,但也會帶來更多的攻擊面和更高的攻擊風險”,新思科技高級安全策略師Jonathan Knudsen說道,“模糊測試是一種安全測試技術,對於5G網絡安全來說至關重要。通過向軟件提供故意格式錯誤的輸入來執行模糊測試,可以查看是否會觸發某種故障。”
新思科技高級安全策略師Jonathan Knudsen
據他介紹,“對於無處不在的5G網絡組件來說,其重要性和對網絡協議群的依賴使得模糊測試成為一種強大而重要的解決方案,以處理當今和未來的網絡安全性。為了更好的為5G網絡組件的發展和部署做好準備,新思科技創建了一組專門為5G網絡協議設計的測試套件。這使得網絡設備製造商和網絡運營商都能對5G網絡組件執行復雜的模糊測試,最終帶來一個更加安全的網絡環境。”
5G帶給人們的不僅是網絡速度的大幅提升,它的最大價值還體現在對各個垂直行業的影響上,其中影響最大的要數物聯網產業。那麼,在5G時代下,物聯網的發展將面臨的安全問題呢?
Jonathan Knudsen認為,“更多的物聯網設備意味著更多的地方易受攻擊。在購買任何軟件產品之前,買家需要確保供應商可以描述安全的開發生命週期,列出所執行的安全測試的類型以及提供任何相關證明文件。設備製造商和其他軟件開發人員必須遵循安全的開發生命週期,這就必須要包括自動化的安全測試。目的是在產品發佈之前儘可能發現和修復更多的漏洞。”
值得一提的是,5G所具有的大寬帶、低時延、高可靠等優勢,也將助推自動駕駛的發展。在採訪最後,新思科技高級解決方案架構師Dennis Kengo Oka透露了新思科技在自動駕駛領域的佈局和戰略規劃。他表示,“新思科技在汽車行業已經非常活躍,並且廣泛涉足在OEMs、一級和二級供應商所使用的產品和解決方案方面。這些解決方案幫助汽車企業更快地開發安全、高質量的軟件。考慮到即將到來的網絡安全工程標準ISO/SAE 21434,新思科技提供多種解決方案來幫助汽車企業高效及有效地處理在新標準中定義的活動。”
新思科技高級解決方案架構師Dennis Kengo Oka
以下是採訪全文:
比特網:2020年將是5G網絡建設的加速之年,而國家政策大力支持發展5G等新基建。可以肯定的是,5G將迎來爆發式發展。新思科技認為,5G將帶來哪些新挑戰?對於企業有哪些建議?
Jonathan Knudsen:5G的關鍵詞是“更”,更快的速度、更大的容量、更多的設備,但也會帶來更多的攻擊面和更高的攻擊風險。
5G通信網絡既是攻擊者的誘人目標,也是非常容易滋生軟件漏洞的沃土。正因如此,我們必須高度關注軟件安全。安全對於任何構建和使用軟件的人來說都非常重要,但是通信網絡的關鍵屬性以及其展現的廣泛的攻擊面意味著供應商和運營商都必須倍加小心。
比特網:5G技術的突破,影響最大的便是物聯網產業。物聯網發展面臨的安全問題有哪些?有何應對策略?
Jonathan Knudsen:更多的IoT設備意味著更多的地方易受攻擊。購買和使用IoT設備或其他網絡端點的企業必須要求其供應商提供一個更高的安全標準。特別是在購買任何軟件產品之前,買家需要確保供應商可以描述安全的開發生命週期,列出所執行的安全測試的類型以及提供任何相關證明文件。這可以幫助買家對產品做一個風險決定。
設備製造商和其他軟件開發人員必須遵循安全的開發生命週期,這就必須要包括自動化的安全測試。目的是在產品發佈之前儘可能發現和修復更多的漏洞。除此之外,必須採用低摩擦、安全的更新機制,以便在該領域有效地修復新發現的漏洞。
比特網:新思科技在5G領域如何進行產品和戰略佈局?
Jonathan Knudsen:模糊測試是一種安全測試技術,對於5G網絡安全來說至關重要。通過向軟件提供故意格式錯誤的輸入來執行模糊測試,以查看是否可以觸發某種故障。這是一種測試零日漏洞的方法,比較受攻擊者歡迎。與其他的安全測試方法一樣,模糊測試應該在產品開發過程中執行,作為安全開發生命週期的一部分。它是幫助產品開發人員在產品發佈前發現和修復更多漏洞的方工具之一。
新思科技通過其Defensics模糊測試解決方案在網絡協議模糊測試方面擁有深厚的專業知識,該解決方案長期以來一直被用於包括4G和LTE網絡基礎設施在內的各種網絡和通信設置中。5G網絡組件無處不在,其重要性和對網絡協議群的依賴使得模糊測試成為一種強大而重要的解決方案,以處理當今和未來的網絡安全性。
為了為5G網絡組件的發展和部署做好準備,新思科技創建了一組專門為5G網絡協議設計的測試套件。這使得網絡設備製造商和網絡運營商都能對5G網絡組件執行復雜的模糊測試,最終為我們大家帶來一個更加安全的網絡環境。
比特網:如何看待中央提出的新基建所帶來的機會和挑戰?
楊國樑:5G基站是5G網絡的核心設備,加快5G新型基礎設施建設已經成為中國2020年的“關鍵詞”之一,整個產業鏈有望迎來巨大的機遇。除了進一步加大建設力度,工業和信息化部也特別強調了5G網絡建設的安全保障。
5G安全需要考慮多個層面,包括由終端和網絡組成的 5G 網絡本身通信安全,以及 5G 網絡承載的上層應用安全。在設計之初,就應該充分考慮網絡的可靠性和安全性,安全架構才能日臻完善。
Jonathan Knudsen:最重要的事情是以一種積極主動的姿態構建新的技術和新的基礎設施。當人們急於構建新的功能,安全常常會被疏忽或忽略。然而,有句諺語說的好:“小洞不補,大洞叫苦”。如果你針對安全做了正確的事情,那麼以後便可以避免很多麻煩。
當構建新的基礎設施,架構師和部署人員應該在每一步都考慮到安全。威脅建模,架構風險評估和其他實時設計的活動,應該確保最終的網絡對運營商和用戶的風險較低。當構建IoT設備或其他軟件產品時,製造商必須遵循安全的開發生命週期,以確保最終產品儘可能的安全。
比特網:今年的新冠疫情影響下,如何看待疫情後的一些“危”和“機”?
楊國樑:疫情對全球經濟的衝擊不言而喻。但各行各業都在努力做調整,以期度過難關。我們看到復工復產的過程中,遠程辦公所需的軟件和系統的需求量急劇增長。而與此同時,這些軟件平臺被曝光出來的漏洞又令人擔憂。以視頻會議產品為例,其中暗藏的隱私安全問題包括關注通話、記錄聊天信息、個人數據與第三方共享、攝像頭漏洞等等。這些都有可能帶來利益損失。
除了雲辦公,現在雲發佈會、雲課堂等都已經很普遍。一方面用戶要提升安全意識;另一方面平臺提供商也需要承擔起責任,在優化產品功能的時候將安全也內置進來,從源頭提升軟件安全性,防患於未然。
Jonathan Knudsen:疫情在全世界範圍內帶來了劇變和困難,但是沒有改變軟件安全的基本事實。我們新的在家辦公和在家學習的模式大大強調了將安全性納入產品和服務的必要性,使安全性成為設計和實施每個階段的一部分。
比特網:據瞭解,2019年8月,新思科技收購了德國汽車軟件與系統開發仿真、測試工具和相關服務企業QTronic GmbH。今年年初,新思科技收購INVECAS部分IP資產,隨後在2月,宣佈加入到自動駕駛汽車計算聯盟。這幾次收購對於新思科技來說意味著什麼?在自動駕駛等領域有什麼佈局和發展戰略,能否透露一下?
在汽車領域,新思科技從芯片設計與驗證、IP到軟件安全與質量都提供專業的工具和服務。
Dennis Kengo Oka:新思科技在汽車行業已經非常活躍,並且廣泛涉足在OEMs、一級和二級供應商所使用的產品和解決方案方面。這些解決方案幫助汽車企業更快地開發安全、高質量的軟件。
例如,Coverity(靜態代碼分享工具)幫助開發人員發現和修復代碼中的漏洞,並且遵循功能安全標準ISO 26262以及如MISRA 和AUTOSAR的編碼準則。 Black Duck(軟件組件分析工具)幫助企業遵循開源軟件許可證並發現在開源軟件中的已知漏洞。Defensics(模糊測試工具)使企業可以執行健壯的測試並發現解析器和協議實現(例如ECUs和信息娛樂系統)中的未知漏洞。
考慮到即將到來的網絡安全工程標準ISO/SAE 21434,新思科技提供多種解決方案來幫助汽車企業高效及有效地處理在新標準中定義的活動。
